BLOG

Betrug: Weniger ist mehr

Joshua Goldfarb Miniatur
Joshua Goldfarb
Veröffentlicht am 17. Juni 2022

In seinem 1982 erschienenen Buch „Megatrends“ schrieb John Naisbitt: „Wir ertrinken in Informationen, aber es mangelt uns an Wissen.“ Dies ist eines meiner Lieblingszitate, da es meiner Meinung nach den Zustand vieler Dinge im modernen Leben so treffend beschreibt. 

Insbesondere beschreibt es prägnant den Status vieler Betrugs- und Risikomanagementprogramme in Unternehmen. Viele dieser Programme weisen leider eine hohe Anzahl falscher Positivergebnisse und anderer Störungen auf, die ihre Wirksamkeit mindern.

Um zu verstehen, warum Lärm im Betrugs- und Risikomanagement ein solches Problem darstellt, müssen wir zunächst seine Folgen für das Unternehmen verstehen. Dies ist zwar keine vollständige Liste, aber hier sind einige wichtige Punkte:

  • Vergeudete Zyklen: Wenn Betrugsbekämpfungsteams einen Workflow rund um eine zentrale Arbeitswarteschlange aufbauen, müssen alle Ereignisse in der Warteschlange priorisiert und überprüft werden. Durch Lärm wird diese Warteschlange mit Elementen gefüllt, die überprüft werden müssen, aber keinen Mehrwert für das Betrugs- und Risikoprogramm darstellen. Mit anderen Worten: Durch Lärm werden die wertvollen Zyklen des Teams verschwendet.
  • Verpasste echte Positive: Der Ausdruck „eine Nadel im Heuhaufen finden“ beschreibt gut, was es bedeutet, in der großen Menge an Daten und Ereignissen, mit denen ein typisches Unternehmen konfrontiert wird, nach Betrug zu suchen. In dieser Analogie stellt die Nadel echte Positivergebnisse (Betrugsfälle) dar, während der Heuhaufen falsche Positivergebnisse darstellt, bei denen es sich nicht um Betrug handelt. Je mehr falsch-positive Ergebnisse es gibt, desto schwieriger ist es, die echten positiven Ergebnisse zu finden.
  • Erhöhte Infrastrukturkosten: Lärm verursacht auch Infrastrukturkosten. Jedes Protokoll, jede Warnung und jedes Ereignis muss aufbewahrt werden, unabhängig davon, ob es einen Mehrwert für das Betrugs- und Risikoprogramm darstellt. Wenn das Team also eine große Menge an Informationen sammelt, die wenig bis keinen Mehrwert bieten, nutzt es lediglich überflüssige Infrastruktur. Dies ist mit Kosten verbunden, die den Bereichen des Budgets entziehen, in denen eine deutlich höhere Wertschöpfung möglich wäre.
  • Verzerrte Messwerte: Falsch-positive Ergebnisse führen häufig zu einer Verfälschung der Messwerte. Bestimmte Kennzahlen, insbesondere jene, die sich auf den prozentualen Anteil der für echte Betrugsfälle aufgewendeten Zeit, das Verhältnis von echten zu falschen Positivmeldungen, das Ereignisvolumen, die Anzahl der behandelten Ereignisse, die Analystenzeit pro Ereignis und andere konzentrieren, werden stark von der Menge des Rauschens beeinflusst. Je niedriger die Rate falsch-positiver Ergebnisse ist, desto genauer und günstiger fallen diese Messwerte aus.

Die Kenntnis einiger Gründe dafür, warum sich Falschmeldungen und Rauschen negativ auf unser Betrugsprogramm auswirken, hilft uns bei der Ausarbeitung eines Plans zur Lösung des Problems. Hier sind einige Vorschläge, die ich im Laufe meiner Karriere hilfreich fand:

  • Beginnen Sie mit dem Risiko: Es überrascht nicht, dass alle erfolgreichen Wege mit einem soliden Verständnis für und der Bereitschaft zum Risiko beginnen.  Bewerten Sie die Risiken und Bedrohungen für das Unternehmen, verstehen Sie, welche Auswirkungen sie innerhalb des Unternehmens haben, und informieren Sie sich über die potenziellen Kosten/Verluste, die mit jedem einzelnen verbunden sind.
  • Ziele und Prioritäten festlegen: Die Auswahl der zu behandelnden Themen und des Zeitpunkts ist eine der wichtigsten strategischen Entscheidungen, die ein Betrugs- und Risikoteam treffen kann. Priorisieren Sie die im vorherigen Schritt aufgezählten Risiken und Bedrohungen und legen Sie Ziele und Prioritäten fest, die sowohl kurzfristig als auch langfristig angegangen werden.
  • Auswirkungen beurteilen: Durch die Identifizierung kritischer Anlagen, Schlüsselressourcen und wichtiger Datenspeicher kann das Team unter anderem die möglichen Auswirkungen eines Vorfalls besser einschätzen. Wenn das Team weiß, wo sich die sensibelsten und wichtigsten Vermögenswerte, Ressourcen und Daten befinden, kann es sich besser auf die Bereiche konzentrieren, in denen es Lücken in der Telemetrie gibt.
  • Daten und Lücken identifizieren: Verstehen Sie die vorhandene Telemetriesammlung und bewerten Sie, ob jede Datenquelle zum Betrugs- und Risikoprogramm beiträgt. Ist dies nicht der Fall, entstehen durch die Erhebung dieser Daten lediglich zusätzliche Infrastrukturkosten, ohne einen Mehrwert zu schaffen. Identifizieren Sie Lücken in der Telemetrie, die das Team im Dunkeln über potenziellen Betrug lassen, und entwickeln Sie einen Plan zum Schließen dieser Lücken.
  • Berücksichtigen Sie Technologie und Lücken: Sehen Sie sich die vorhandene Technologie genau an und prüfen Sie, in welchen Bereichen sie hilfreich ist, z. B. bei der zuverlässigen Betrugserkennung mit einer geringen Anzahl falscher Positivmeldungen, bei der Erfassung wertvoller Telemetriedaten und/oder bei der effizienteren Gestaltung von Prozessen und Arbeitsabläufen. Behalten Sie genau im Auge, wo die Technologie der Betrugsbekämpfungsabteilung eher hilflos gegenübersteht, und wo es Lücken bei der Telemetrie und Erkennung gibt.
  • Schluss mit lauten Regeln und Unterschriften: Regeln, Signaturen und andere Erkennungstechniken, die viel Lärm erzeugen, tragen nichts zum Wert des Betrugsprogramms bei. Stattdessen überhäufen sie das Team mit Fehlalarmen und verhindern aktiv die rechtzeitige und genaue Erkennung von Betrugsfällen. Es mag radikal klingen, aber die Abschaffung dieser störenden Erkennungsmechanismen bringt weitaus mehr Vorteile als Nachteile mit sich.
  • Implementieren Sie eine strenge Erkennung: Um die Philosophie „Weniger ist mehr“ wirklich zu verinnerlichen, muss man sich darüber im Klaren sein, dass man die Daten eingehend abfragen und Warnmeldungen und Ereignisse mit hoher Wiedergabetreue und Zuverlässigkeit erzeugen muss. Zwar erfordert die Implementierung ausgefeilterer Erkennungsansätze zunächst einen erheblichen Zeitaufwand, zahlt sich aber aus.  Je besser die Alarmierung und Ereignisbehandlung, desto mehr Signale und desto weniger Rauschen gibt es in der Arbeitswarteschlange.
  • Konzentrieren Sie sich auf den Prozess: Die qualitativ hochwertigste Arbeitswarteschlange der Welt hilft nichts, wenn es fehlerhafte oder nicht vorhandene Prozesse gibt. Ein erstklassiges Betrugsbekämpfungsteam verfügt über ausgereifte, effiziente und effektive Prozesse, die seine Arbeitsweise leiten und steuern.
  • Kontinuierliche Verbesserung: Kein Betrugsbekämpfungsteam ist perfekt und die besten Betrugsbekämpfungsteams sind sich ihrer Schwächen und ihrer Verbesserungsmöglichkeiten durchaus bewusst. Für den langfristigen Erfolg des Betrugsbekämpfungsteams ist es von entscheidender Bedeutung, aus den oben genannten Punkten Lehren zu ziehen und diese zur kontinuierlichen Verbesserung des Betrugsbekämpfungsprogramms zu nutzen.

Die allgemeine Meinung, dass mehr Daten, mehr Ereignisse und mehr Warnmeldungen zu einer besseren Betrugserkennung führen, ist veraltet und falsch. Durch eine strategische Konzentration auf Risiken und einen methodischen Ansatz zur Reduzierung von Risiken können Unternehmen sowohl den Stand ihrer Betrugserkennung als auch die Reife ihrer Betrugsprogramme verbessern. Durch die Verbesserung des Signal-Rausch-Verhältnisses und die Umsetzung der „Weniger ist mehr“-Philosophie bei der Betrugserkennung können Unternehmen mehr Betrugsfälle erkennen und gleichzeitig deutlich weniger Ressourcen für Fehlalarme verschwenden.

Möchten Sie mehr erfahren? Kommen Sie vom 21. bis 22. Juni bei Infosecurity Europe (Stand P20) und unterhalten Sie sich mit Josh .